La importancia de usar contraseñas largas y complejas

Hola, quería compartir con vosotros un ejercicio que muestra porque es necesario tener contraseñas largas y complejas, está claro que es obvio que las contraseñas no deben compartirse entre servicios.
Es decir, no puedo usar la misma contraseña para el banco y para gmail, es algo lógico como NO usar como contraseña 12345678 o password o contraseña.

El equipo de Safeydetectives han realizado una compilación de las 20 contraseñas más hackeadas del mundo donde encontramos la lista para las usadas en España.

  1. 123456
  2. 123456789
  3. 12345
  4. 12345678
  5. 111111
  6. 1234567890
  7. 000000
  8. 1234567
  9. barcelona
  10. 123456a
  11. 666666
  12. 654321
  13. 159159
  14. 123123
  15. realmadrid
  16. 555555
  17. mierda
  18. alejandro
  19. tequiero
  20. a123456
¿Esta la tuya?

Pues bueno, más aya de lo evidente que puede ser usar contraseñas largas y complejas, lo que quiero es llamar la atención que en función de la complejidad de la contraseña veamos el tiempo necesario para encontrarlas. 

Según la complejidad de una contraseña tendríamos:
  • Número de caracteres
  • Uso de números
  • Uso de letras en minúscula
  • Uso de letras mayusculas y minúsculas
  • Números, letras mayusculas y minúscula
  • Números, letras mayusculas, minúscula y caracteres especiales o símbolos
y finalmente tenemos la siguiente tabla que nos muestra el tiempo necesario para encontrar la contraseña, con la potencia de calculo actual.




Con esto en mente lo que esta claro es que necesitamos mejorar nuestras contraseñas y combinarlas con el segundo factor de autenticación, ya que en caso de que se filtre nuestra contraseña nos protegerá el segundo factor.

Por último, os dejo para los más curioso que puedan ver lo fácil que es adivinar una contraseña.

¿Como encontramos una contraseña?

Aunque existen muchas herramientas os voy a mostrar una de código abierto, es decir, completamente gratuita. La aplicación se llama John The Ripper  y para el proceso de búsqueda de una contraseña tenemos que entender el concepto de Hash, en esencia es que a cualquier elemento (fichero, correo, programa, etc) se le aplica una algoritmo que nos permite obtener un número único para identificarlo, como una firma digital, esta es la que nos permite luego detectar cambios en ficheros y programas. Los antivirus identifican las modificaciones y así comprueban la validez de un correo o fichero anexado en un mensaje.

Bien, para esta prueba necesitamos hacer un par de cosas:
  1. En windows nos descargamos la version del John The Ripper. No tiene instalación pues es un fichero .zip
  2. Descargamos la aplicación 7ZIP, que es una versión de código abierto de la aplicación para crear ficheros .zip y con la particularidad de poder protegerlos con contraseña.
  3. Una vez instalado 7zip, seleccionamos un fichero de texto y lo comprimimos con una contraseña
  4. Abrimos una venta de comandos, inicio/Ejecutar/CMD  y nos vamos al sitio donde hemos descomprimido el John The Ripper...esto con comandos cd
  5. Una vez ahi debemos obtener el HASH del fichero y lo guardamos en un fichero que luego pasaremos a The Ripper, en el caso de un fichero zip usaríamos zip2john 
  6. The Ripper puede usar diccionarios, esto es busca palabras en diccionarios de términos comunes o bien basados en nuestra huella digital y de ahí lo interesante.
En resumen, suponiendo que el fichero que hemos creado es mifichero.zip los comandos a poner serían:

zip2john mifichero.zip > hash.txt       obtenemos el hash

john hash.txt          le indicamos a john que encuentre la contraseña, por fuerza bruta


Bueno para simplificarlo, os he dejado un video que os muestra paso a paso lo que se debe hacer...mi objetivo es que vean lo simple del proceso.


Lo próximo será que usemos un gestor de contraseñas...

Saludos

Pedro